從互聯(lián)網(wǎng)時(shí)代興起至今,,人們的生活方式有了很大的變化,很多服務(wù)只需要通過一個(gè)賬戶就能輕松享受,,但從某種角度看,,這也是讓渡出一些個(gè)人隱私的結(jié)果,尤其是在當(dāng)前幾乎所有網(wǎng)絡(luò)服務(wù)的賬號都必須要綁定手機(jī)號甚至更多隱私信息的情況下才能使用,,因此這些數(shù)據(jù)信息的價(jià)值大幅提升,,成為攻擊者眼中的“肥肉”,因此我們也看到數(shù)據(jù)泄露事件時(shí)有發(fā)生,。
近期我們整理一些數(shù)據(jù),,總結(jié)出近10年來規(guī)模龐大的十起數(shù)據(jù)泄露事件。經(jīng)整理發(fā)現(xiàn),,雖然最大的數(shù)據(jù)泄露事件發(fā)生在接近10年前,,但更多事件都發(fā)生在2018年至今的5年內(nèi),而能夠發(fā)生大規(guī)模泄露的普遍都是大型企業(yè),,安全建設(shè)水平理應(yīng)較高,,由此可見近些年來的威脅形勢的確愈加嚴(yán)峻。我國作為一個(gè)互聯(lián)網(wǎng)大國,,也是數(shù)字化轉(zhuǎn)型速度較高的國家,,也有兩起成為其中之一。
01 雅虎
● 事件時(shí)間:2013年8月
● 事件影響:30億賬戶
雖然事件發(fā)生在2013年8月,,但首次公開是2016年,,當(dāng)時(shí)雅虎正處在被Verizon(威瑞森)收購的過程之中,據(jù)當(dāng)時(shí)估計(jì),,被黑客獲取的賬戶信息數(shù)量超過10億,,但不到一年之后,雅虎表示在該事件中泄露的用戶賬戶達(dá)到30億,。雅虎在當(dāng)時(shí)的官方聲明中表示,,被盜信息內(nèi)容包括用戶名、郵箱地址,、電話號碼,、生日、以及部分用戶的安全識別問題和答案,。同時(shí)特別強(qiáng)調(diào)信用卡和銀行賬戶信息并沒有保存在黑客攻擊的服務(wù)器上,。
根據(jù)當(dāng)時(shí)國內(nèi)媒體調(diào)查分析,在泄露的用戶賬戶中,,至少有數(shù)千萬是中國用戶,,盡管發(fā)生該事件的事件和雅虎離開中國事件大體一致,中國的活躍用戶處在較低的水平,,但考慮到很多用戶在口令方面并沒有良好的安全習(xí)慣,,因此也有可能會被進(jìn)一步利用。在Verizon完成對雅虎的收購后也加大了針對提升雅虎安全性方面的投入,,根據(jù)外媒報(bào)道,,包括口令、支付卡和銀行數(shù)據(jù)的確沒有被盜,。
02 Aadhaar(印度唯一身份識別管理局)
● 事件時(shí)間:2018年1月
● 事件影響:超11億印度公民身份及生物特征信息被泄露,。
2018年初,媒體報(bào)道稱有攻擊者入侵世界上最大的身份數(shù)據(jù)庫——印度Aadhaar,,在該事件中,,總計(jì)泄露了超過11億印度公民的信息,包括姓名,、地址,、照片、電話號碼和電子郵件以及包括指紋,、虹膜在內(nèi)的生物特征數(shù)據(jù),。更重要的是,由于這個(gè)由印度唯一身份識別局 (UIDAI)在2009年建立的數(shù)據(jù)庫還包含了與公民身份證號相關(guān)的銀行賬戶信息,,盡管該局最初否認(rèn)數(shù)據(jù)庫持有此類數(shù)據(jù),、
據(jù)當(dāng)時(shí)報(bào)道顯示,攻擊者通過印度國有公用事業(yè)公司Indane的網(wǎng)站潛入Aadhaar數(shù)據(jù)庫,,Indane通過API接口連接到政府?dāng)?shù)據(jù)庫,,該接口允許應(yīng)用程序檢索其他應(yīng)用程序或軟件存儲的數(shù)據(jù)。不幸的是,Indane的API并未有訪問控制,,因此數(shù)據(jù)很容易受到攻擊,。在事件發(fā)生后,攻擊者通過社交媒體以低至7美元的價(jià)格出售數(shù)據(jù)使用權(quán),。盡管安全研究人員不斷地發(fā)出告警,,但印度當(dāng)局仍然拖到直到2018年3月下旬才將這個(gè)易受攻擊的接口關(guān)閉。
03 淘寶
● 事件時(shí)間:2019年11月
● 事件影響:超11億條用戶數(shù)據(jù)遭泄露
據(jù)中國基金報(bào)2021年6月報(bào)道,,商丘市睢陽區(qū)人民法院當(dāng)時(shí)在裁判文書網(wǎng)公開了一份刑事判決書,,顯示一名住在河南商丘市的本科畢業(yè)的大學(xué)生逯某自2019年11月起,對淘寶實(shí)施了長達(dá)八個(gè)月的數(shù)據(jù)爬取并盜走大量用戶數(shù)據(jù),。在平臺注意到這一問題前,,已經(jīng)有超過11億8千多萬條用戶信息泄露。
報(bào)道指出,,在八個(gè)月的時(shí)間里,,一名為關(guān)聯(lián)營銷人員工作的開發(fā)人員使用自己開發(fā)的爬蟲軟件,從該平臺抓取了客戶數(shù)據(jù),,包括用戶名和手機(jī)號碼,。另一名犯罪分子利用這些信息,建了1100個(gè)微信群,,每個(gè)群90-200人不等,,每天用機(jī)器人在群里發(fā)平臺優(yōu)惠券,賺取返利,,并在短短的8個(gè)月內(nèi)獲利34萬余元,。
04 領(lǐng)英(LinkedIn)
● 事件時(shí)間:2021年6月
● 事件影響:7億用戶數(shù)據(jù)
6月22日,有黑客在暗網(wǎng)銷售領(lǐng)英7億條包含用戶郵箱,、姓名,、電話號碼、家庭住址,、個(gè)人和職業(yè)背景信息等內(nèi)容的用戶數(shù)據(jù),。據(jù)報(bào)道,當(dāng)時(shí)領(lǐng)英的用戶總數(shù)量為7.56億,,如此看來,,當(dāng)時(shí)其九成以上的用戶數(shù)據(jù)都慘遭暴露。不過領(lǐng)英隨后表示并沒有敏感的個(gè)人隱私數(shù)據(jù)被泄露,,雖然該事件的出現(xiàn)令其違反用戶服務(wù)條款,,但數(shù)據(jù)泄露本身并不存在。但據(jù)英國國家網(wǎng)絡(luò)安全委員會(NCSC)發(fā)布的警告內(nèi)容顯示,,在攻擊者發(fā)布的一份抓取數(shù)據(jù)樣本中,,包含電子郵件地址、電話號碼、地理位置記錄,、性別和其他社交媒體細(xì)節(jié)等信息,,毫無疑問,這將為攻擊者提供大量機(jī)會,,在該數(shù)據(jù)泄露發(fā)生后制造更多的社工攻擊,。
據(jù)攻擊者自身的表述看,,該攻擊仍然是利用領(lǐng)英網(wǎng)站和其他網(wǎng)站的API接口所發(fā)起,,在數(shù)據(jù)轉(zhuǎn)儲過程中被抓取。
05 微博
● 事件時(shí)間:2020年3月
● 事件影響:5.38億用戶賬戶
2020年3月,,微博表示攻擊者獲取了其部分?jǐn)?shù)據(jù)庫,,影響了5.38億微博用戶和他們的個(gè)人信息,包括真實(shí)姓名,、網(wǎng)站用戶名,、性別、位置和電話號碼,。據(jù)報(bào)道,,攻擊者隨后在暗網(wǎng)上以250美元的價(jià)格出售該數(shù)據(jù)庫。
微博在聲明中稱,,攻擊者利用一項(xiàng)服務(wù)收集了公開發(fā)布的信息,,該服務(wù)旨在幫助用戶通過輸入朋友的電話號碼來定位他們的微博賬戶,而密碼沒有受到影響,。不過,,微博也承認(rèn),如果密碼在其他賬戶上重復(fù)使用,,泄露的數(shù)據(jù)可能會被用來關(guān)聯(lián)賬戶和密碼,。
06 Facebook
● 事件時(shí)間:2019年4月
● 事件影響:5.33億用戶賬戶
2021年4月,有一個(gè)用戶在黑客論壇中發(fā)布了一份數(shù)量龐大的數(shù)據(jù),,這些數(shù)據(jù)涉及106個(gè)國家的5.33億Facebook用戶,,包括ID、用戶全名,、位置,、生日、個(gè)人簡介以及電子郵件地址等信息,。其中來自美國(約3200萬條),、英國(約1100萬條)以及印度(約600萬條)都是受影響的主要群體。隨后經(jīng)過研究機(jī)構(gòu)驗(yàn)證后,,這些數(shù)據(jù)的真實(shí)性得以證實(shí),。
盡管Facebook在聲明中表示,這些數(shù)據(jù)是在2019年4月被泄露的,并在當(dāng)年8月就已經(jīng)修復(fù)了該漏洞,,其言外之意無外乎是宣揚(yáng)該事件影響有限,,但對于用戶而言,在Facebook上面綁定的電話號碼,、郵件可不會經(jīng)常更換,,更別提那些和用戶全名、出生日期等數(shù)據(jù)了,。
07 萬豪國際
● 事件時(shí)間:2018年9月
● 事件影響:5億用戶
在2018年11月發(fā)布的聲明中,,萬豪國際酒店宣布其系統(tǒng)在2018年9月遭受入侵后,那些曾于2018年9月10日或之前在該酒店預(yù)訂的客戶信息或被泄露,,涉案數(shù)據(jù)約5億條,。
萬豪國際在后期的調(diào)查中了解到,自2014年以來,,其系統(tǒng)中就一直存在未經(jīng)授權(quán)的訪問,。在這一攻擊過程中,未經(jīng)授權(quán)的一方復(fù)制并加密了信息,,隨后則采取刪除的手段,。2018年11月19日,萬豪國際成功解密了這些信息,,并確定其內(nèi)容來自喜達(dá)屋客房預(yù)訂數(shù)據(jù)庫,。報(bào)道顯示,被竊取的數(shù)據(jù)包括客人的姓名,、郵寄地址,、電話號碼、電子郵件地址,、護(hù)照號碼以及喜達(dá)屋常旅客計(jì)劃(Starwood Preferred Guest,,SPG )的賬戶信息、出生日期,、性別,、到達(dá)和離開信息、預(yù)訂日期和其他偏好,。對一些人來說,,信息還包括支付用銀行卡的卡號和到期日。
2020年,,萬豪國際因未能保護(hù)用戶的個(gè)人數(shù)據(jù)安全,,被英國數(shù)據(jù)管理機(jī)構(gòu)信息專員辦公室(ICO)罰款1840萬英鎊,值得一提的是,,如果不是因?yàn)橐咔樵颉按蛘邸?,該罰款的金額應(yīng)達(dá)到9900萬英鎊,。
08 雅虎
● 事件時(shí)間:2014年
● 事件影響:5億用戶
作為整個(gè)互聯(lián)網(wǎng)世界的老牌企業(yè),雅虎確實(shí)承受了不少的攻擊,,除了前面2013遭受的攻擊之外,,在2014年它也遭受了攻擊,而在這一事件當(dāng)中,,攻擊者竊取了雅虎5億用戶的數(shù)據(jù),,包括姓名、電子郵件地址,、電話號碼和出生日期等等,。不過,直至涉案數(shù)據(jù)庫于2016年在黑市上被出售之后,,雅虎才官方公布了該事件相關(guān)細(xì)節(jié),,并表示在2014年當(dāng)年就采取了補(bǔ)救措施,,但具體如何,,誰知道呢?畢竟2013年遭受攻擊之后,,2014年仍然還有涉及如此龐大的用戶數(shù)據(jù)被泄露,,其所謂的安全“加強(qiáng)”能力也是可見一斑。
09 Friend Finder Network
● 事件時(shí)間:2016年10月
● 事件影響:4.12億用戶
Friend Finder Network泄露的數(shù)據(jù)除了包含自身的3.39億用戶賬號信息之外,,還包括其他同行業(yè)的網(wǎng)站(如聊天站等)用戶信息,,總數(shù)量達(dá)到了4.12億,泄露的數(shù)據(jù)包括姓名,,電子郵件地址和密碼等,,考慮到該網(wǎng)站的服務(wù)性質(zhì),可以想象這些泄露的信息對于受害者的影響恐怕是巨大的,。另外值得一提的是,,暴露的個(gè)人信息中,包括大量通過弱算法SHA-1哈希加密的,,根據(jù)研究人員對其數(shù)據(jù)集的分析之后,,在2016年11月發(fā)布結(jié)果顯示,預(yù)計(jì)會有99%的密碼被破解,。
10 MySpace
● 事件時(shí)間:2013年
● 事件影響:3.6億用戶賬號
熟悉這個(gè)社交媒體網(wǎng)站的人可能不會太年輕了,,它曾經(jīng)是當(dāng)年的社交媒體網(wǎng)站巨頭之一,但現(xiàn)在已經(jīng)沒落,,但考慮到它在鼎盛時(shí)期的受歡迎程度,,也就不難想象它一旦發(fā)生用戶數(shù)據(jù)泄露,量級也一定小不了,。
2016年,,MySpace網(wǎng)站的3.6億用戶賬號被暴露在互聯(lián)網(wǎng)上,,并在暗網(wǎng)以6個(gè)比特幣的價(jià)格進(jìn)行出售,而在那個(gè)時(shí)候,,6個(gè)比特幣的價(jià)格也才大約3000美元而已,,這和3.6億的數(shù)字之間差距實(shí)在是太大了,以至于該新聞甚至成為當(dāng)時(shí)不少主流媒體的頭條,。
根據(jù)該公司的官方說法,,泄露的數(shù)據(jù)包括2013年6月11日之前在舊Myspace平臺上創(chuàng)建的部分賬戶的電子郵件地址、密碼和用戶名,,并呼吁在此之前創(chuàng)建賬號的用戶能夠返回網(wǎng)站進(jìn)行驗(yàn)證并按照提示重置他們的密碼,。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<
